Можем ли мы доверять Microsoft?
Последние шпионские разоблачения бывшего агента ЦРУ Эдварда Сноудена в очередной раз открыли общественности глаза на деятельность компании Microsoft. Не в том ли секрет успеха корпорации, что она умудряется сначала продавать ПО своим пользователям, а потом продает доступ к компьютерам своих клиентов всем желающим, включая такие малоприятные заведения, как ЦРУ, АНБ и Пентагон? Да, трояны производят и внедряют многие, но только Microsoft умеет делать это за деньги самой жертвы.
Специалист по компьютерной безопасности Глин Муди еще раз перечислил все скандалы, в которых была замешана Microsoft, чтобы задать вопрос: можем ли мы вообще доверять продукции этой фирмы?
Скандалы Microsoft
Первый раз Microsoft поймали за руку в далеком 1999 году. Исследователи обнаружили в составе Windows шпионский код от Агентства национальной безопасности США. Код был встроен в библиотеку ADVAPI.DLL, отвечающую за работу криптографических функций в Windows. В частности, исследователи нашли в ней скрытый второй ключ, дающий возможность третьим лицам свободно расшифровывать все пользовательские данные.
Второй случай основан на предположении, что в Skype встроен бэкдор, позволяющий получить полный доступ к зашифрованным переговорам пользователей, к чату и пересылаемым файлам. Разговоры об этом появились еще тогда, когда корпорация Microsoft приобрела Skype и сразу кинулась изменять архитектуру сервиса. Многим специалистам по безопасности эти изменения показались очень подозрительными. Некоторые в открытую говорили о том, что изменения явным образом направлены на ослабление безопасности Skype. И вот недавно Эдвард Сноуден полностью подтвердил опасения. Skype действительно целиком контролируется американскими разведывательными структурами. Сноуден даже сослался на документ, который имеет забавное название «Руководство по прослушиванию Skype для сотрудников АНБ».
Третье свидетельство тесной дружбы (нет, даже не дружбы, а страстной любви) между Microsoft и разведывательными организациями США опубликовало авторитетное издательство Bloomberg. Оказалось, что компания Microsoft умудряется делать деньги даже на дырах в своем собственном ПО, продавая информацию о дефектах в коде американскому правительству. Не в этом ли причина того, что Microsoft десятилетиями не может избавиться от курьезного имиджа производителя нестабильного ПО? Если брак в программах превращен в вид бизнеса, стоит ли с браком бороться?
Не менее важен и вопрос о том, как именно американское правительство распоряжается купленной информацией о дефектах в ПО. Официальная позиция властей заключается в том, что информация используется для более эффективной защиты правительственных компьютеров. Но более правдоподобную точку зрения приводят независимые исследователи в области информационной безопасности. Скорее всего, информация об уязвимостях используется для получения несанкционированного доступа к критически важной информации на правительственных компьютерах других стран.
Похоже, Microsoft так понравились двойные продажи — сначала дырявого ПО пользователям, а затем информации об уязвимостях разведслужбам — что было принято решение продать доступ вообще ко всему коду Windows и Office американским военным почти за полмиллиарда долларов.
Все эти скандалы вынуждают нас в очередной раз задуматься: можно ли доверять продукции этой фирмы? Не похож ли покупатель Windows и Office на барана, который добровольно предоставляет иностранным шпионам доступ к своим данным и сам же этот доступ оплачивает?
Комментарии
pomodor
25 июня, 2013 - 05:04
Наши депутаты и прочие симулянты заботы о гражданах сразу забегали, показывая как они возмущены. По-моему, даже американского посла собирались вызвать для дачи пояснений. Но не логично ли для начала перестать сажать своих же граждан за установку нелицензионного ПО от Microsoft? А то и бэкдорам они возмущаются, но и за нелицензионное использование троянов сажают. Это первый вопрос.
Второй вопрос, как насчет уголовной статьи за неправомерный доступ к компьютерной информации? Если российский гражданин напишет троян и всучит его другому российскому гражданину, то такие действия подпадают под определение Уголовного кодекса. Если американская компания устанавливает трояны на компьютеры россиян, то тут почему-то претензий нет. Это официальная позиция российских властей, что американцы освобождаются от ответственности за преступления на территории России? Может быть нашим защитникам правопорядка пора бы уже перестать ходить с представителями MS и громить офисы российских предпринимателей, разыскивая там не налепивших голографическую наклейку на системный блок о том, что компьютер инфицирован программами от Microsoft? Может быть правоохранителям пора наведаться в само российское представительство Microsoft?
Ну и третий вопрос, почти риторический. Как там с Линуксом, который обещали установить на все компы в госучреждениях? Есть успехи? Или возможность распилить бюджет на покупке платного ПО перевешивает необходимость защитить правительственные данные от иностранной разведки?
Ой, еще и четвертый вопрос. ФСБ сертифицировала Windows 7 для работы на государственных компах. Был даже пафосный пресс-релиз: «важной особенностью сертифицированной платформы Microsoft является защищенность от внешнего несанкционированного доступа». Вопрос: как это согласуется с последними данными о том, что Microsoft продает данные, позволяющие получить несанкционированный доступ?
Чингачгук
27 августа, 2015 - 10:36
Ответы лежат на поверхности. Если что-то делается. или что-то не делается, то кому-то это выгодно. Пусть каждый раскинет своими мозгами и получит ответы.
Чингачгук
25 июня, 2013 - 09:46
Можно ли доверять той же команде которая собирает Дебьян? Риторический вопрос. Мы сами себе уже доверять скоро не сможем. Но я, все же склонен, использовать опенсорс.
Platon
27 июня, 2013 - 10:02
Крупную транс-национальную корпорацию прогнуть под себя проще, а вольнолюбивое сообщество хакеров может в любой момент ответить непредсказуемым сливом - "Ахтунг комрадес, наших бьют!!! Большой брат пытается нас нагнуть!"
Чингачгук
27 августа, 2015 - 10:38
Да он давно уже нагнул, вы что, не чувствуете?
pomodor
25 июня, 2013 - 16:16
Доверять в наше неспокойное время никому нельзя, сейчас все ушлые. ;) Но если сравнивать степень доверия, то к команде Debian доверия больше. Объясню почему.
1. В открытый код сложнее внедрить закладки. Например, фокус со вторым ключом (как в ADVAPI.DLL практически неосуществим).
2. Команду Debian не подкармливает американское правительство, следовательно, отсутствует мотив вставлять в дистрибутив всякие пакости.
3. Заплатки принимают и просматривают независимые участники. Они спокойно могут заявить о каких-либо подозрениях на шпионаж в коде, тогда как программисты MS должны молчать из-за угрозы увольнения.
4. Дистрибутив Debian не лазает по непонятным причинам в интернет через зашифрованные каналы. А Windows лазает.
5. Еще миллион фактов, которые дают основания полагать, что Debian менее похож на троян, чем Windows.
Чингачгук
28 июня, 2013 - 16:21
Учитывая то, что знающий человек может внедрить бэкдор, лишь сделав "ошибку" в одном символе (см. историю с Wait4() )...
Даже есть специальные конкурсы, посвящённые написанию кода, выглядящего нормально, но имеющего "дыру" (The Underhanded C Contest).
Так что я не думаю, что у открытого кода в этом какое-то большое преимущество.
pomodor
28 июня, 2013 - 18:53
По-моему, Вы сами себе противоречите. С одной стороны, утверждаете, что есть специальные конкурсы по созданию/выявлению таких закладок — а значит есть и люди, умеющие эти закладки выявлять. Но при этом утверждаете, что доступность исходного кода не дает никаких преимуществ.
Чингачгук
28 июня, 2013 - 18:57
>> Вы сами себе противоречите. С одной стороны, утверждаете, что есть специальные конкурсы по созданию/выявлению таких закладок
Просто по созданию.
pomodor
28 июня, 2013 - 19:05
Хорошо, просто по созданию. Если создают, значит другие имеют возможность эти примеры накапливать, изучать, систематизировать и искать их по аналогии в другом коде. Доступность этого другого кода является преимуществом?
Intercessio
26 июня, 2013 - 22:59
Старая тема. Накануне вторжения амеров в Сербию, за несколько часов до этого вдруг накрылись все сети в компах в стране и компы работали с проблемами. Проблемы возникли даже в компах в приграничных областях. Информация о этом старательно удаляется из всех источников. Подробностей не помню.
Бил Гейтс плотно сотрудничал с ЦРУ. И последним были переданы специально разработанные проги для доступа на любой комп с виндой.
Хомяки упорно не хотят понимать, что их имеют за свои же деньги.
Legun
28 июня, 2013 - 10:05
вот вам еще доказательства, что M$ сливает инфу по своим дырам спец службам
http://lenta.ru/news/2013/06/28/cartwright/
Чингачгук
28 июня, 2013 - 15:39
>>существовании американской секретной программы, направленной на вывод из строя иранских центрифуг.
И причём тут Microsoft? Это же Stuxnet.
Legun
28 июня, 2013 - 20:19
ну нету сейчас под рукой новости о том как чудо касперский нарыл страшный вирус на компах у этих иранцев, не поленитесь, сложите два и два...
Platon
28 июня, 2013 - 11:53
Гениальность стратегов АНБ заключается в том, что они:
1) сделали из военной сети ARPANET публичный потребительский продукт, распространив данную технологию повсеместно - Кто создал Internet - тот его и контролирует.
2) благодаря агрессивному маркетингу (и скрытой стимуляции пиратства в странах СНГ) сделали из продукции американских транснациональных корпорации - общепризнанный мировой стандарт делопроизводства (Win+MSO на 95% пользовательских ПК+ пара процентов у Apple, практически весь мобильный сегмент опять же у американской Google).
Вот оно абсолютное превосходство и тотальный контроль, которым не может похвастать не одна другая спецслужба мира.
И теперь особо наивные обыватели делают квадратные глаза: оказывается американская разведка имеет прямой и неограниченный доступ к любым ресурсам американских гигантов, а в самой распространенной проприетарной ОС (равно как и в офисном пакете, и в VoIP-клиенте и в др. проприетарных программах) "вдруг" обнаруживают бэкдоры от АНБ.
«Бойтесь данайцев, дары приносящих»(с) Вергилий
перефраз "Бойтесь пиндосов, услуги дающих"
Чингачгук
28 июня, 2013 - 15:48
Как бы от арпанета в современном интернете мало что осталось. Те же штаты контролируют (в самом широком смысле этого слова) только американские ресурсы. Отчего и весь этот PRISM.
И как же они её "скрыто стимулировали"? Пиратство и так было тогда единственным выбором тогдашних пользователей.
Тут скорее проблема в том, что современный интернет куда менее распределён, чем раньше. Если раньше электронной почтой люди обменивались по самым разным серверам (зачастую провайдерским или университетским), то сейчас все общаются по фейсбуку.
Я понимаю, что со всеми последними скандалами люди нехило взволнованы. Но это не причина для того, чтобы отбрасывать здравый смысл и уходить в сторону теорий заговоров.
pomodor
28 июня, 2013 - 18:56
А чем плохи теории заговора? Один раз сговорился — а дальше пожинай одни сплошные бонусы.
Чингачгук
28 июня, 2013 - 19:10
Они плохи тем, что во многих случаят ожидают сотрудничества, а иногда даже полного молчания (в эпоху ассанжев и сноуденов, ага) от слишком большого количества людей. А органам, известным своей некомпетентностью (те же американские власти или Microsoft), придаются свойства, совершенно им несвойственные.
pomodor
28 июня, 2013 - 19:36
Во-первых, в тайном сговоре никогда не участвует слишком большое количество людей. Зачем? Если только нет цели под видом сговора преподнести что-то иное, чтобы отвлечь внимание.
Во-вторых, молчание и не требуется. Сговор — это же от слова "говорить". Никаких документальных подтверждений не ведется, а слова "а Петя сказал, что Вася стал предводителем тайной масонской ложи Урюпинска" мало чего стоят. Всегда можно объявить Петю умалишенным и Петя потом замучается доказывать обратное.
Platon
28 июня, 2013 - 20:39
Первый закон конспирации - всех второстепенных исполнителей необходимо своевременно нейтрализовать (дискредитировать/убрать физически).
Для эффективной подачи дезинформации: информацию необходимо подавать последовательно внедряя доказуемые реальные факты, оптимально когда источник дэзы сам верит в достоверность исходной информации. Делаем выводы сами.
pomodor
28 июня, 2013 - 18:59
А еще хочу напомнить, что SELinux, который нынче стал частью стандартного ядра Linux, был подарен
данайцами, дары приносящимиАНБ. ;)Legun
28 июня, 2013 - 20:22
хм, а я его всеремя отключаю. не понимаю зачем он вобще нужен в линуксе то
Platon
28 июня, 2013 - 20:24
осталось выяснить, что основные компиляторы они(АНБ) создали и можно посыпать голову пеплом)))
Комментировать